Ein 70er-Startup mit digitalen Wurzeln
Als Frederick W. Smith 1973 FedEx gründete, gingen seine Gedanken schon in Richtung Digitalisierung. Von ihm stammt der berühmte Satz: „Die Informationen über das Paket sind genauso wichtig wie das Paket selbst.“ Die Idee für sein weltweit bekanntes Unternehmen stammt angeblich aus einer Arbeit, die er für einen Wirtschaftskurs an der Universität von Yale schrieb und in der er skizzierte, wie ein Zustelldienst mit Über-Nacht-Lieferung im Computerzeitalter funktionieren könnte.
1980 vernetzte FedEx seine Fahrer und teilte die Sendungsverfolgungsinformationen mit den Kunden über ein landesweites drahtloses Netzwerk, das mit dem Großrechner des Unternehmens verbunden war. 1994, als Websites für die meisten Unternehmen noch ein Novum waren, bot FedEx.com bereits Online-Informationen zur Sendungsverfolgung an.
FedEx-Kunden haben schon immer einen erstklassigen Service erwartet und erhalten, der auf der neuesten digitalen Technologie basiert. Im Laufe der Jahre sind im Unternehmen jedoch immer mehr Legacy-Systeme und Mainframe-Anwendungen hinzugekommen, sagt Trey Ray, Manager of Cybersecurity bei FedEx. Vor einigen Jahren startete CIO Rob Carter eine Initiative zur Erneuerung der Informationstechnologie, um die Infrastruktur des Unternehmens zu modernisieren.
Daraus ging am Ende das CIO100-prämierte Cloud Dojo-Konzept hervor, bei dem ein unternehmensübergreifendes Expertenteam moderne Entwicklungstechniken bei FedEx praktiziert und teilt. „Wir verwenden neue Entwicklungstools wie Spring Boot, Spring Security und Angular und haben auch in das Cloud Foundry Framework investiert“, sagt Ray.
Blindekuh mit Identities
Bei der Sicherheit stießen Entwickler jedoch auf Hindernisse. „Wir haben 20 Jahre damit verbracht, die besten Insellösungen für das Identitäts- und Zugriffsmanagement (IAM) zu entwickeln“, sagt Ray. Das Unternehmen nutzte ein VPN mit Multi-Faktor-Authentifizierung (MFA), Föderation und Webzugriffsmanagement, die jeweils on-premise implementiert waren.
„Sicherheitstechnisch betrachtet war es ein Blindekuh-Spiel“, sagt Pat O‘Neil, Cybersicherheitsbeauftragter bei FedEx. „Jede dieser separaten IAM-Lösungen stellte eine potenzielle Quelle für Konfigurationsfehler dar.
Ray stimmt zu. „Wir konnten zwar alles mit den uns zur Verfügung stehenden Mitteln zum Laufen bringen, aber das System stellte unsere Softwareentwickler vor viele Probleme“, sagt er. „Sie wollten moderne Lösungen entwickeln, mussten diese aber in eine Legacy-Welt pressen.“
Die IAM-Infrastruktur von FedEx war ein echtes „Spaghetti-Diagramm“, das auch dem Rest des FedEx-Teams Kopfzerbrechen und Probleme bereitete. „FedEx-Vertriebsmitarbeiter müssen ihr Passwort unter Umständen fünfmal eingeben, bevor sie morgens ihre Arbeit aufnehmen können“, beschreibt Ray das Problem.
Aufgrund der komplexen Infrastruktur konnte das Unternehmen nur zwei Identity Stores nutzen. Dies verlangsamte die Integration von Firmenzukäufen enorm. Für ein Unternehmen, das international expandieren und neue Services anbieten will, war das ein Problem.
Die Suche nach einer IAM-Lösung
Für die Lösung des IAM-Problems richtete das Cybersicherheitsteam von FedEx seinen Blick auf IDaaS-Lösungen (Identity as a Service). „Wir haben viele Whitepaper gelesen, YouTube-Videos angeschaut und mit zahlreichen Experten gesprochen, um das Bewerberfeld einzugrenzen“, sagt Ray.
Zusätzlich versendete das Team Informationsanfragen, um das Feld noch stärker einzugrenzen. „FedEx nimmt die Suche nach Anbietern sehr ernst und ist für seine Gründlichkeit bekannt – fragen Sie mal unsere Okta Sales Engineers“, sagt Ray. Letztendlich entschied sich FedEx für Okta.
Die Entscheidung für Okta begründet mit sechs Vorteilen:
Interoperabilität mit vorhandenen FedEx-Lösungen: „Okta bietet Integrationsmöglichkeiten an genau den richtigen Stellen“, erklärt Ray. „Wir sind zum Beispiel ein großer VMware Workspace ONE-Shop und Okta kann eng mit Workspace ONE integriert werden.“
Einfache Implementierung: „Uns als Sicherheitsexperten war es wichtig, nur in einer einzigen Admin-Konsole arbeiten zu müssen, statt ständig zwischen vier oder fünf verschiedenen Websites hin und her zu springen“, sagt er.
API-Verfügbarkeit: „Einer unserer Grundsätze bei der IT-Erneuerung lautet ‚API-First‘“, sagt Ray. „Für viele Arbeiten, die sich mit der Admin-Konsole von Okta erledigen lassen, kann man auch APIs nutzen.“
Eine breite Palette an MFA-Optionen: Neben Okta Verify mit Push-Technologie unterstützt Okta auch Hardware-Authentifikatoren und moderne Authentfizierungsoptionen wie den Universal 2nd Factor der FIDO Alliance (FIDO U2F), YubiKey und WebAuthn.
Universal Directory und die Möglichkeit, Identities aus mehreren User Stores einfach zusammenzufassen: „Wir sind ein großes Unternehmen und kaufen andere Unternehmen, sodass es bei uns viele Directories gibt“, sagt Ray.
Sofortige Kompatibilität mit Schlüsselentwicklungslösungen wie Spring Boot, Spring Security und Cloud Foundry.
Mehr als nur Passwörter für Zero-Trust-Ansatz
Als das Cybersicherheitsteam von FedEx die IAM-Infrastruktur des Unternehmens mit dem Ziel überprüfte, diese zu vereinfachen und zu modernisieren, hatte es bereits ein weitergehendes Ziel im Hinterkopf: die Einführung eines Zero-Trust-Sicherheitsmodells.
Kompromittierte Passwörter sind meist der erste Schritt in der Data Breach Kill Chain. Mit ihnen verschafft sich ein Angreifer den Erstzugriff, bevor er sich lateral durch das Netzwerk bewegt und versucht, seine Rechte zu erweitern“, erklärt Ray. „Passwörter sind als einziger Schutz nicht mehr zu rechtfertigen und reichen auch nicht aus, um FedEx-Identities zu authentifizieren und unsere digitalen Assets zu schützen.
Anstelle des „Vertrauen ist gut, Kontrolle ist besser“-Ansatzes wird bei Zero Trust der gesamte interne und externe Netzwerkverkehr als nicht vertrauenswürdig behandelt. Für FedEx bedeutet das, Benutzer und Geräte zu verifizieren, jede Anmeldesituation im Kontext zu evaluieren und die Ergebnisse zu nutzen, um die Login-Experience je nach zugewiesener Vertrauensstufe anzupassen.
„Der Identity-Anbieter des Unternehmens spielt bei dieser Zero-Trust-Strategie eine wichtige Rolle“, betont Ray. Daher war die Wahl des richtigen Anbieters so wichtig. „Okta Identity Cloud mit dem Identity-as-a-Service-Modell auf der Basis von Okta Universal Directory und Okta Single Sign-On war die Lösung für FedEx.“
Okta unterstützt moderne Authentifizierungsprotokolle wie SAML 2.0 und OpenID Connect und kann FedEx-Anwendungen daher unabhängig davon unterstützen, ob es sich um SaaS-, Cloud-native oder Legacy-Anwendungen handelt.
Darüber hinaus profitiert das Team bei der Verbindung des Zero-Trust-Modells mit älteren On-Premise-Anwendungen von die Partnerschaft von Okta mit F5. „Der F5 BIG-IP Access Policy Manager (APM) implementiert die Protokolltransformation mit modernen Methoden, schickt die Benutzer aber trotzdem mit allen Headern oder Cookies, die jede Anwendung benötigt, zu Legacy-Anwendungen zurück“, erklärt Prashanth Karne, Cybersecurity Principal bei FedEx. Dadurch kann das Team den gesamten HTTP-Verkehr zu und von Backoffice-Anwendungen ohne VPN sichern.
Mit Okta Adaptive Multi-Factor Authentication kann FedEx kontextabhängige Verifizierungsanforderungen für Benutzer hinzufügen. Das Team konzentriert sich derzeit auf Okta Verify, verwendet aber für einige Anwendungsfälle ältere OATH-Hardware-Token und testet auch moderne Authentifizierungssysteme wie FIDO U2F, YubiKey und WebAuthn.
„Wenn ich mich bei der Admin-Schnittstelle von Okta anmelde, kann ich ohne großen Aufwand Touch ID auf meinem MacBook verwenden“, berichtet Ray.
Ein weitere Zero-Trust-Baustein für FedEx ist Okta Device Trust. Dieses Feature stellt sicher, dass jedes Gerät, das auf Unternehmensanwendungen zugreift, sicher und konform ist. Ray freut sich schon auf die Okta Platform Services. Sie bieten die Möglichkeit, Okta auf jedem Gerät einzubetten, und ermöglichen mehr Transparenz, kontextabhängige Zugriffsentscheidungen und konsistente passwortlose Logins.
Mit Okta verwaltet das Cybersicherheitsteam von FedEx kontextbasierte Zugriffsrechte im gesamten Unternehmen über eine einzige Zugriffsrichtlinien-Engine, die alle Anwendungen im Netzwerk abdeckt. „Das ist das Hirn des Systems“, sagt Ray. „Wir können damit individuelle Login-Experiences gestalten – ob nur mit Passwort, ohne Passwort oder mit Passwort und MFA. Die Engine hilft uns, diese Richtlinien und Regeln zu erstellen und die entsprechenden Zugriffsentscheidungen zu treffen.“
Die letzte Komponente in der Zero-Trust-Strategie von FedEx bildet die Analyse des Benutzerverhaltens. Das Team nutzt Splunk und Machine-Learning-Techniken, um die umfangreichen, von Okta erfassten Identity-Daten zu analysieren und damit verdächtiges Verhalten zu erkennen und proaktive Richtlinienentscheidungen zu treffen.
Zero Trust: Eine Fallstudie
Interessanterweise ist Zero Trust auf vertrauenswürdige Beziehungen zwischen den Technologien mehrerer Anbieter und die Zusammenarbeit von Partnerteams angewiesen, um erweiterte Verifizierungsfunktionen bereitzustellen. Ein gutes Beispiel hierfür ist die Beziehung von FedEx zu VMware, Okta und Workday.
FedEx verwaltet mobile Geräte mit Workspace ONE und verwendet Workday als Personalinformationssystem. Als Workday Funktionen ankündigte, die den Self-Service-Zugriff auf der Grundlage des Gerätetyps einschränken, arbeitete das FedEx-Cybersicherheitsteam mit Okta und VMware zusammen, um Routing-Regeln für diese Funktion zu konfigurieren.
Der Workflow umfasst eine Reihe von Redirects, damit Workspace ONE den Gerätestatus überprüfen und Okta diese Informationen an Workday weiterleiten kann. Benutzer mit Geräten, die von FedEx verwaltet werden, erhalten reibungslosen Zugriff ohne Passwort auf ihre Workday-Informationen, während Benutzer mit unverwalteten Geräten nur eingeschränkten Zugriff über Benutzername, Passwort und Okta Verify mit Push erhalten.
Schnelle Bereitstellung im richtigen Moment
Im Februar 2020, als COVID-19 über die USA hereinbrach, stand das FedEx-Team noch ganz am Anfang der Integration aller Anwendungen in Okta.
„Da viele Mitarbeiter ins Homeoffice wechselten, mussten wir unsere Arbeiten teilweise beschleunigen“, sagt Ray. Ryan Rudnitsky, Senior Customer Success Manager bei Okta, koordinierte die Teams von FedEx und Okta für die große Aufgabe und schickte stündliche Updates über das Voranschreiten der Arbeiten an das FedEx-Management.
„Innerhalb von 36 Stunden migrierten wir Workday, Office 365, Webex, ServiceNow, Salesforce, Check Point VPN und Zoom zu Okta“, berichtet Ray. Beide Teams haben ihre Bemühungen intensiviert und die Aufgabe gemeistert.
Ray schreibt einen Großteil des Erfolgs seines Teams der guten Kommunikation zu. Im Vorfeld der Okta-Einführung im Unternehmen arbeiteten sie mit dem FedEx-Kommunikationsteam zusammen, um eine Gesamtmarke für die Lösung – „PurpleID“ – zusammen mit einer Website, Informations-E-Mails, häufig gestellten Fragen und Antworten sowie Werbevideos zu entwickeln, die den Benutzern zeigen, wie sie sich bei Okta Verify anmelden können.
In Gesprächen mit anderen Sicherheitsverantwortlichen, die an Zero-Trust-Initiativen arbeiten, empfiehlt er außerdem, sich die Unterstützung der Führungsebene im Unternehmen zu sichern. „Wenn Sie nicht die Unterstützung aller Entscheidungsträger haben – bis hinauf zum CIO und CISO – können Sie gleich wieder einpacken“, sagt er.
Ray empfiehlt, das Projekt in überschaubare Phasen einzuteilen. Bei FedEx waren es SaaS-Anwendungen, dann Cloud-native Anwendungen und dann Legacy-Anwendungen. Auch die enge Zusammenarbeit mit Okta war wichtig – und wenn es doch einmal kniffliger wurde, half ein externer Integrierer.
Eine einheitliche Cloud für SaaS-, On-Premise- und Cloud-native Anwendungen
Die Ergebnisse können sich sehen lassen. Das FedEx-Team macht gute Fortschritte bei der Ausmusterung älterer IAM-Lösungen und der Integration seiner rund 250 SaaS-Anwendungen, mehr als 500 On-Premise-Anwendungen und mehr als 400 Cloud-nativen Anwendungen in die Okta-Lösung.
„Unser größter Traum ist es, unsere Anwendungen so für Last- und Hybridsituationen wie Colocation oder sogar Public Clouds auslegen zu können, dass sie problemlos mit Volumenschwankungen umgehen, die in unserem Geschäft eine große Herausforderung darstellen“, sagt O‘Neil.
„Mit diesem Modell“, sagt er, „verfügen wir nun über einen zentralen Ort für die Kontrolle unserer Sicherheitslage. Die Entwicklungsteams müssen sich jetzt nur noch über ein Token Gedanken machen und können die konsistente Authentifizierung und Autorisierung auf allen Geräten gewährleisten.“
Im Falle weiterer Firmenübernahmen kann das Team auch einen ressourcenschonenden On-Premise-Agent-Ansatz anwenden, um Identity Stores in Okta Universal Directory zusammenzufassen. Damit lassen sich neue Firmen viel schneller integrieren.
Mit einer Cloud-nativen Plattform, die SaaS-, Cloud-native und Legacy-Anwendungen abdeckt, und einem einheitlichen Directory für die gesamte FedEx-Belegschaft können sich alle problemlos anmelden und schneller mit der Arbeit beginnen. Gleichzeitig bedeutet die umfassende Zero-Trust-Strategie des Unternehmens, dass die Daten und Anwendungen von FedEx immer sicherer werden.
Über FedEx
FedEx Corp. bietet Kunden und Unternehmen weltweit ein breites Portfolio an Transport-, E-Commerce- und Unternehmensservices. Mit einem Jahresumsatz von 70 Milliarden US-Dollar stellt das Unternehmen integrierte Geschäftslösungen über Betriebsgesellschaften bereit, die unter der Marke FedEx miteinander konkurrieren und zusammenarbeiten. FedEx gehört zu den weltweit renommiertesten und vertrauenswürdigsten Arbeitgebern und inspiriert seine mehr als 475.000 Teammitglieder, sich auf Sicherheit, höchste ethische und professionelle Standards sowie die Bedürfnisse ihrer Kunden und Communitys zu konzentrieren.
